Нов руткит за Windows е 100% неоткриваем

Изследователи по сигурността са разработили нов вид зловреден руткит софтуер, който се скрива в „тъмна" част на микропроцесора, недостъпна за настоящите антивирусни продукти.

System Management Mode (SMM) е защитена част от чипа, която може да бъде заключена и направена невидима за операционната система и в същото време може да даде на атакуващите снимка на това какво се случва в паметта. Новият руткит се задейства именно в System Management Mode (SMM).
Руткитът е в пакет с кийлогинг и комуникационен софтуер и би могъл да бъде използван за кражба на чувствителна информация. Създаден е от Шон Ембълтън (Shawn Embleton) и Шери Спаркс (Sherri Sparks), които притежават компания за компютърна сигурност - Clear Hat Consulting, базирана в Овиедо, Флорида.

Софтуерът ще бъде демонстриран за първи път по време на конференцията Black Hat през август в Лас Вегас.

Руткитовете са незабележими зловредни програми, направени така, че да прикриват следите си докато работят в компютъра, за да не бъдат откривани. Руткитовете добиха популярност през 2005 г., когато Sony BMG Music използва такава технология, за да скрива софтуер за защита на авторските права в музикалните записи, които продава. Компанията беше принудена да изтегли милиони компакт дискове преди назряващия скандал.

В последно време изследователите търсят начини да задействат руткитовете извън операционните системи, тъй като по този начин са много по-трудно откриваеми. Преди две години например изследователят Йоана Рутковска представи руткит, наречен Blue Pill, който използваше виртуализационна технология на AMD на ниво чип, за да се скрива. Рутковска заяви, че зловредният софтуер е 100% неоткриваем.

Blue Pill тогава имаше предимството на новите виртуализацонни технологии, които сега вече са добавени и към микропроцесорите. Новият руткит обаче използва характеристиката SMM, съществуваща от години и е разпространена в много повече машини. В процесорите 386 на Интел бяха добавяни програми в SMM, за да могат хардуерните производители да отстраняват бъгове, използвайки софтуер. Технологията също така беше използвана за управление на захранването, като напр. въвеждаше в sleep модул

От няколко години учените подозират, че е възможно в SMM да бъде задействан зловреден код. През 2006 г. изследователят Loic Duflot демонстрира как зловредна програма за SMM би могла да работи. Ембелтън казва, че със Спаркс са използвали идеята на Duflot и са написали по-сложен код с вградени руткитоподобни техники. Спаркс и Ембелтън са добавили и драйвер, написан на асемблер (един от най-трудните езици за програмиране).